AWSで障害--多数のサービスに影響（転載）～クラウドサービス使うときは、年1回程度の大規模障害を受け入れる覚悟が必要～

AWSで障害--多数のサービスに影響

　Amazon Web Services（AWS）のデータセンターで米国時間11月25日、大規模な障害が発生している。これにより、同社のサービスの稼働が不安定になり、インターネットで提供されている多数のオンラインサービスに大きな影響が及んでいる。

　影響を受けているその他のサービスには、スマートデバイスや、暗号資産（仮想通貨）ポータル（トランザクション処理で障害が発生している）、ストリーミングおよびポッドキャストサービス（ユーザーによるアカウントへのアクセスが制限されている）などがある。

　また、DownDetectorのページで問題が報告されたサイトには、「Ring」「Prime Music」「Pokemon Go」「Roku」「MeetUp.com」「League of Legends」「Anchestry.com」「Chime」などのサービスがあった。

　同社のステータスページによると、今回の障害はリアルタイムで大容量のデータを集積、分析するために用いられる「AWS Kinesis」を中心に発生しているという。

　この障害による影響で、ステータスページの上部に表示される小さなメッセージ領域を除き、ページ自体の更新もままならないと同社のエンジニアらは述べている。

　現在のところ、大半の問題は主にAWSの北米のリージョンに限定されているようだ。AWSによると、北米ではKinesisのほか、下記のAWSのサービスなどに影響がみられる。また、アジア太平洋、南米、欧州、アフリカ、中東のリージョンでは現在、「Amazon CloudFront」のみに問題があるようだ。

• ACM
• Amplify Console
• AppStream2
• AppSync
• Athena
• AutoScaling
• Batch
• CloudFormation
• CloudTrail
• CloudWatch
• Cognito
• Connect
• DynamoDB
• EventBridge
• IoT Services
• Lambda
• LEX
• Managed Blockchain
• Marketplace
• Personalize
• Rekognition
• SageMaker
• Workspaces

　AWSは、米国東部（US-EAST-1）リージョンにおけるKinesis Data Streams APIに影響する問題のほか、影響を受けるすべてのサービスの全面的な復旧に向け作業を続けているなどとしている。

新潟ご当地グルメの通販ショップに不正アクセス（転載）～想定損害賠償額は1,200万円程度か～

新潟ご当地グルメの通販ショップに不正アクセス

新潟県発祥のファーストフードである「イタリアン」を展開するみかづきは、同社が運営するオンラインショップが不正アクセスを受け、顧客情報があ流出した可能性があることを明らかにした。

同社によると、「みかづきオンラインショップ」に脆弱性があり、外部より不正アクセスを受けて顧客が利用したクレジットカード情報が流出し、一部が不正に利用された可能性があることが判明したという。

流出した可能性があるのは、2019年9月30日から2020年5月25日にかけて同サイトでクレジットカード決済を利用した顧客最大464人分の個人情報で、クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。

6月29日にクレジットカード会社より情報流出の可能性について指摘があり、問題が発覚した。外部事業者による調査を実施し、9月30日に完了。10月5日に警察へ被害を申告、同月12日に個人情報保護委員会へ報告した。

個人情報が流出した可能性のある顧客に対しては、11月25日よりメールで経緯を報告し、謝罪するとしており、心当たりのない請求が行われていないか確認するよう求める。

6月29日より停止している同サイトについては、セキュリティ対策や監視体制を強化し、再開する予定。

プレスリリースバックアップ

「PPAPは無意味」中央官庁でパスワード付zipファイル送信廃止議論(転載)

「PPAPは無意味」中央官庁でパスワード付zipファイル送信廃止議論:

平井卓也デジタル改革担当相は2020年11月17日に開かれた定例会見にて、パスワード付きZIPファイルの送信ルールを廃止する方向で検討を進めると明らかにしました。

問題となっているのは「PPAP」と呼ばれるセキュリティ対策ルールで、プライバシーマークが求める暗号化ルールに適合するために広まったとされる手法です。具体的には、第1段階として送信したいファイルをZIP形式に暗号化したのち、解凍パスワードを別送するというものです。

平井デジタル改革担当相は定例会見にて、このPPAP方式について「セキュリティレベルを担保するための暗号化ではない」と発表。政府の意見募集サービス「デジタル改革アイデアボックス」からも批判する指摘が相次ぎ、河野太郎行政・規制改革担当相らとの対話の末に検討が決定したとしています。

PPAP採用国は先進国で日本だけ？なぜこのようなことになったのか

PPAP方式は日本政府だけでなく、日本国内の民間企業においても広く利用されている方式です。事務担当者であれば、一度は見たことのある人も多いでしょう。

そんなPPAP方式ですが、実は諸外国に目を向けますと、ビジネスレベルで導入されているケースは日本だけで、少なくとも先進各国はPPAP方式など導入していないのが実情です。当然セキュリティ的に無意味との判断で、具体的な理由としては「攻撃者が仮にZIPファイルが入手できるなら、同じ通信方式で送るパスワードも流出している」などの批判が存在します。

では、なぜPPAP方式が日本国内で広まったか。これは、ウェブサービスの安全性を証明するために多くの企業が取得している「プライバシーマーク」が影響していると言われています。プライバシーマークはその監査基準の一つとして通信ファイルの暗号化を求めていますが、外見上はこれに適合できる、PPAPが広まったものと見られています。

“Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」（転載）～JIPDECもPPAP撲滅に向けて前進か！？～

“Pマーク”認証団体が見解　パスワード付きファイルのメール送信は「以前から推奨していない」 - ITmedia NEWS:

 　一般財団法人日本情報経済社会推進協会（JIPDEC）は11月18日、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。

プレスリリース

　パスワード付きファイルをメールに添付する場合、ファイルとパスワードをそれぞれ別メールで送る場合がある。こうした慣習を「Password付きzipファイルを送ります、Passwordを送ります、An号化（暗号化）Protocol（プロトコル）」の頭文字を短縮し、セキュリティの世界ではPPAPと揶揄（やゆ）することが多い。

　17日に平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示したことを受け、JIPDECに「zipファイルがダメなのか」などの問い合わせが複数寄せられたという。

　JIPDECは事業者の個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」（Pマーク制度）を運営する団体。JIPDECは通商産業省（現経済産業省）の指導を受け、1998年からPマーク制度を創設した。

「PPAPの総本山ではなかったのか？」ネットの声にJIPDECが回答

　JIPDECの公式発表を受け、ネット上では歓迎する声がある一方、「パスワード付きzip業界の総本山だと思われていたプライバシーマークがそんなことは推奨してないと熱い手のひら返し…！」と驚きの声も上がっている。

　こうした反応について、JIPDECはITmedia NEWS編集部の取材に「ネット上でさまざまなご意見があることは存じている」としつつ、「個人情報を含むファイルをパスワード設定により暗号化してメールに添付し、パスワードを別メールで送信することは以前から推奨していない」と明確に否定した。

　他方、ネット上の反応を見ると、PPAPが社内ルールになっている企業もあるようだ。こうした企業に対する取り組みについて「プライバシーマーク制度は、事業者の自主的な取り組みを促し、状況や場面に合わせて適切な対策を講じていただくことを求めており、その運用状況を確認するものだ」と制度趣旨を説明した上で「特定の手法や手段を推奨、指導することはない」とコメント。具体的な方法は示さなかった。

　JIPDECは「（プライバシーマークの）付与事業者には、個人情報を含むファイルなどをメールで送信する場合は、送信先や取り扱う情報などを踏まえ、リスク分析を行った上で必要かつ適切な安全管理措置を講じていただく事を今後も継続してお伝えしていく」とコメントした。

【転載】Avaddon (まとめ)

Avaddon (まとめ):

【要点】

◎RaaSサービスで使用される Ransomware。盗み出したファイルを利用した二重恐喝も開始した。開発者はロシア人の可能性が高い

【ニュース】

◆Phorpiexボットネット用いた攻撃が再び急増 - 6月マルウェアランキング (マイナビニュース, 2020/07/14 10:28)
https://news.biglobe.ne.jp/it/0714/mnn_200714_2411409590.html
⇒ https://malware-log.hatenablog.com/entry/2020/07/14/000000_2

◆Avaddon ransomware launches data leak site to extort victims (BleepingComputer, 2020/08/10 14:40)
[Avaddonランサムウェア、被害者を恐喝するデータ流出サイトを立ち上げる]
https://www.bleepingcomputer.com/news/security/avaddon-ransomware-launches-data-leak-site-to-extort-victims/
⇒ https://malware-log.hatenablog.com/entry/2020/08/10/000000

◆This Ransomware Comes With Its Own Affiliate Program (Cointelegraph, 2020/08/13)

Crypto crime joins the gig economy.
[暗号犯罪がギグ経済に加わる]

https://cointelegraph.com/news/this-ransomware-comes-with-its-own-affiliate-program
⇒ https://malware-log.hatenablog.com/entry/2020/08/13/000000_8

◆The Week in Ransomware - August 14th 2020 - Crime made easy (BleepingComputer, 2020/08/14 11:42)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-14th-2020-crime-made-easy/
⇒ https://malware-log.hatenablog.com/entry/2020/08/14/000000_8

◆ESET、「Avaddon」ランサムウェアの解析レポートを公開 (ASCII.jp, 2020/10/27 11:00)
https://ascii.jp/elem/000/004/031/4031777/
⇒ https://malware-log.hatenablog.com/entry/2020/10/27/000000_1

【ブログ】

◆2020年上半期ランサムウェア動向拾遺：「Avaddon」、新たな回避手法、業界別被害事例、など (Trendmicro, 2020/09/11)
https://blog.trendmicro.co.jp/archives/26021
⇒ https://malware-log.hatenablog.com/entry/2020/09/11/000000_12

【資料】

◆Avaddon ランサムウェアの解析 (ESET, 2020/10/27)
https://eset-info.canon-its.jp/files/user/malware_info/images/threat/201027/Malware_Report_Avaddon_202010.pdf

【図表】

出典: https://www.bleepingcomputer.com/news/security/avaddon-ransomware-launches-data-leak-site-to-extort-victims/

【脅迫サイト】

• avaddonbotrxmuyl.onion

【関連まとめ記事】

◆全体まとめ
　◆マルウェア / Malware (まとめ)

◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware

「サイバーセキュリティ対策マネジメントガイドラインVer2.0」公開（転載）

「サイバーセキュリティ対策マネジメントガイドラインVer2.0」公開｜JASA | トレンドマイクロ is702

 特定非営利活動法人日本セキュリティ監査協会（JASA）は11月17日、専門監査人ワークグループが作成した「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開しました。

「サイバーセキュリティ対策マネジメントガイドライン」は、情報セキュリティマネジメントシステム（ISMS：Information Security Management System）の標準を規定したJIS Q 27001:2014を実装している組織に対して、要求される事項や管理対策のガイドラインを示すものです。

Ver2.0は、2018年1月18日に発行されたVer1.0の改訂版に当たります。Ver1.0発行以降、さらに深刻になったサイバーセキュリティを巡る状況に対応し、組織におけるセキュリティ管理基準を見直した内容となっています。また、ISO/IEC27009に完全に準拠するのではなく、JIS Q 27001およびJIS Q 27002を追補する形にすることで使いやすさも重視したものとなっています。

主な内容としては、用語や定義の説明に加え、JIS Q 27001について、体制の整備・文書化・リスク評価・コミュニケーションといった項目、JIS Q 27002について、CSIRT機能の確立・事業インパクトの緩和といったサイバーセキュリティ管理策が追記されています。

組織を標的としたサイバー攻撃は日々発生しており、規模や業種にかかわらず被害に遭う可能性があります。自組織の対策に漏れや抜けが無いか、本ガイドラインを参考に見直すと良いでしょう。

バックアップ

【転載】Active Directory内での資格情報を軸にした横展開を防止するのに役立つ 保存資格情報の削減とかProtected Users とかに興味沸いた方はこのあたりから見ていただくと何のことかわかりやすいかも。

S⃣ A⃣ S⃣ A⃣ retweeted: Active Directory内での資格情報を軸にした横展開を防止するのに役立つ　保存資格情報の削減とかProtected Users とかに興味沸いた方はこのあたりから見ていただくと何のことかわかりやすいかも。slideshare.net/TechSummit2016…　#セキュリティのアレ:

S⃣ A⃣ S⃣ A⃣ retweeted:

Active Directory内での資格情報を軸にした横展開を防止するのに役立つ　保存資格情報の削減とかProtected Users とかに興味沸いた方はこのあたりから見ていただくと何のことかわかりやすいかも。slideshare.net/TechSummit2016…　#セキュリティのアレ

バックアップ

カプコン、採用応募者の情報を破棄していなかったことが判明（転載）

 

カプコン、採用応募者の情報を破棄していなかったことが判明

あるAnonymous Coward 曰く、

カプコンのランサムウェア被害の絡みで流出した情報に採用応募者情報（氏名、生年月日、住所、電話番号、メールアドレス、顔写真など）が約12万5000件含まれていたが、これについて流出自体とは別に話題になっているそうだ（J-CASTニュース）。

話題になって理由としてカプコンの応募サイトには、「採用選考の結果、採用に至らなかった方、及び、採用を辞退された方の応募書類等は、選考後、当社において責任をもって破棄致します」と書かれていたためで、「（説明に反して）破棄されていなかったのでは?」という指摘が出ているようだ。

カプコン広報IR室によれば、履歴書などの書類は破棄した後も、「再応募いただける方もいらっしゃり、確認をスムーズにするため」電子化して一定期間（期間は非公表）保管しているという。流出の可能性があるのは電子データになる。」とのことだが、タレコミ人としてはそれ（電子データ）で保存していること自体、破棄していない事でしかないと思う。

そもそも、再応募事は再応募時で新しい履歴書来るのだからそれで判断すればいい話で保存する必要はないと思われ、（不採用や辞退後に）保管する必要性は見当たらない。

情報元へのリンク

ーJ-CASTニュースー

ゲーム大手「カプコン」がサイバー攻撃で社内データが流出した問題に関連し、同社の個人情報の取り扱いの説明に不備があったことが、J-CASTニュースの取材で分かった。

   採用応募者向けに、不採用者の履歴書は「破棄」すると伝えていたが、今回の被害では応募情報約12万5000件が流出した恐れがあるとしている。SNS上では「破棄していなかったのでは」との指摘が寄せられている。

   カプコンは2020年11月16日、「Ragnar Locker（ラグナロッカー）」を名乗るサイバー犯罪集団からランサムウエア（身代金ウイルス）の被害を受け、最大35万件の社内情報が流出した可能性があると公表した。

   同日までに従業員のパスポート情報や販売レポートなどの流出が確認されたという。クレジットカード情報は流出していない。

   ラグナロッカー側は1TB（テラバイト）の情報を盗み出したと主張し、身代金を要求。11日18時までを交渉期限としていた。カプコン側は応じなかったとみられ、一部情報が匿名性の高いネット空間「ダークウェブ」上で公開された。

   同社は外部の専門家を交えた対策会議を開くなどして、原因究明や再発防止に努めるとする。専用の問い合わせ窓口（電話0120・896・680）も設置した。

  被害報告を受け、採用応募者情報の取り扱いをめぐる「矛盾」がツイッターで多数指摘されている。

   今回の被害で、採用応募者情報（氏名、生年月日、住所、電話番号、メールアドレス、顔写真など）が約12万5000件流出した恐れがあるとするが、同社は公式サイトに「採用選考の結果、採用に至らなかった方、及び、採用を辞退された方の応募書類等は、選考後、当社において責任をもって破棄致します」と明記していた。

   そのため、「破棄していなかったのでは」と疑問視する声が寄せられている。

   カプコン広報IR室は19日、J-CASTニュースの取材に「当社の説明が不足していたことを皆様にお詫び申し上げます」と非を認めた。

   広報IR室によれば、履歴書などの書類は破棄した後も、「再応募いただける方もいらっしゃり、確認をスムーズにするため」電子化して一定期間（期間は非公表）保管しているという。流出の可能性があるのは電子データになる。

   電子化に関する説明が漏れていたため、すでにサイトの記載の修正に取りかかっているとした。